Контрмеры защита протокола SNMP
Контрмеры: защита протокола SNMP
Самый простой способ предупреждения такой деятельности состоит в удалении агента SNMP или в отключении службы SNMP с помощью аплета Services панели управления. Если данный вариант вам не подходит, то как минимум убедитесь в том, что доступ к данной службе правильно настроен и используется строка доступа private, а не установленная по умолчанию строка public. Можно также отредактировать системный реестр, чтобы разрешить только санкционированный доступ к службе SNMP и запретить передачу информации NetBIOS о системе. Для этого запустите программу regedt32 и найдите параметр HKLM\ SystemNCurrentControlSet\Services\ SNMP\Paramaters\ValidConununities. Выберите команду Permissions>Security и установите в открывшемся диалоговом окне значение таким образом, чтобы разрешить доступ только аутентифицированным пользователям системы. Затем перейдите к разделу HKLM\System\CurrentControlSet\ Services\SNMP\ ParametersNExtensionAgents, удалите значение, содержащее строку LANManagerMIB2Agent, а затем переименуйте остальные параметры, чтобы восстановить правильную последовательность. Например, если вы удалили параметр с номером 1, переименуйте параметры 2, 3, 4 и т.д. в 1, 2, 3 и т.д.
Кроме того, если вы используете протокол SNMP для управления сетью, заблокируйте доступ к портам TCP и LJDP с номерами 161 и 162 (SNMP GET/SET) по всему периметру граничных устройств управления доступом. Как мы еще неоднократно увидим в этой и последующих главах, разрешение передачи внутреннего потока SNMP за пределы сети — это очень серьезная угроза безопасности. Более подробная информация о протоколе SNMP приводится в соответствующих документах RFC, которые можно найти по адресу http://www.rfc-editor.org.
